Windows 실행파일로 macOS의 Gatekeeper를 우회하는 maleware 등장

애플 macOS에는 GateKeeper라는 보안 정책이 있습니다. GateKeeper는 사용자가 다운로드 받은 파일을 설치하거나 실행할 때, 실제 실행에 앞서, 해당 앱의 Code Signing을 검색, 해당 앱이 신뢰할 만한 것인지의 여부를 판별하게 됩니다. 만일 문제가 있다면 실행을 하지 않고, 사용자에게 경고를 하거나 제거할 것을 유도 하죠.

이것은 출처를 알 수 없는 앱, maleware나 hacking으로 부터 사용자 데이터를 보호하기 위한 것 입니다. 

보안 솔루션 업체인 Trend Micro가 최근 분석한 결과에 따르면, 토렌토 등을 통해 배포되고 있는 macOS용 Crack 버전 패키지 내부에 WIndows용 실행프로그램인 .exe 파일을 포함시켜 macOS의 GateKeeper를 우회하여 maleware를 실행시키는 방법이 활용되고 있다는 것을 발견했다고 합니다. 

macOS가 GateKeeper를 통해 검증하는 대상이 macOS용 앱이라는 점을 역으로 활용한 기법이라고 할 수 있을 것 같은데요. 일반적으로 .exe 파일을 더블클릭하면 당연히 macOS에서는 해당 파일을 실행하지 않습니다. windows용 프로그램이기 때문이죠.

헌데, 문제가 되는 .exe 파일은 Mono framework를 사용하는데, 이 Mono framework는 windows .exe 파일을 macOS나 Android 등 windows가 아닌 다른 OS에서도 .exe 파일을 실행시킬 수 있는 .NET framework 기반의 open source cross-platform 입니다. 

이러한 점을 이용하여 macOS에서 실행된 .exe파일은 GakeKeeper가 macOS용 앱이 아니기 때문에, 검증하지 않으며, 이를 우회하여 mac의 모델과 mac 일련번호, 응용프로그램 폴더 정보등을 특정 서버로 전송하거나 사용자 모르게 adware등을 설치하는 installer 역활을 수행한다는 것이죠.

이러한 기법이 적용되어 토랜트 사이트등에서 유통되고 있는 현재까지 알려진 패키지들은 대략 다음과 같습니다. 

- Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
- Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
- LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
- Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
- TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
- Little_Snitch_583_MAC_OS_X.zip

대부분 소프트웨어 가격이 매우 고가이거나, 유명한 소프트웨어들이 그 대상이겠죠. 위에 나열한 것은 Trend Micro에서 그나마 분석하여 발견한 것들이지만, 실제로는 더 많은 패키지에 포함되어 있을 수 있으므로, 토랜트를 애용하시는 유저분들의 주의가 요구됩니다.